OCSP Stapling功能是由全站加速服务器查询OCSP(Online Certificate Status Protocol)信息,可以降低客户端验证请求延迟,减少等待查询结果的响应时间。本文通过与传统OCSP功能对比,为您介绍OCSP Stapling功能的优势。

前提条件

客户端必须支持OCSP扩展字段才能使用OCSP Stapling功能,如果客户端不支持OCSP扩展字段,则功能无法生效。
说明
  • OCSP Stapling功能需要您的业务有一定量的QPS以保证全网触发,QPS过低可能导致配置无法生效。
  • OCSP Stapling功能默认缓存时间是1小时,缓存过期后第一个访问请求OCSP Stapling将不生效,直到重新获取OCSP Stapling信息为止。

背景信息

OCSP信息由数字证书颁发机构CA(Certificate Authority)提供,用于在线实时验证证书的合法性和有效性,可以提高证书的校验性能。
客户痛点问题:客户端(例如浏览器)根据证书中的OCSP信息,将查询请求发送到CA的验证地址,检查此证书是否合法、有效。在网络状况不佳的情况下,客户端在等待获取查询结果时,会造成长时间的页面空白,阻塞终端用户的后续操作。OCSP
功能解决痛点:OCSP Stapling功能将查询OCSP信息的工作交由全站加速服务器完成。全站加速通过低频次查询,将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时,全站加速服务器将证书的OCSP信息和证书链一起发送到客户端。这样可以避免客户端验证产生的阻塞问题。由于OCSP信息无法伪造,该过程中不会产生其他安全问题。OCSP Stapling

操作步骤

  1. 登录全站加速控制台
  2. 在左侧导航栏,单击域名管理
  3. 域名管理页面,单击目标域名对应的配置
  4. 在指定域名的左侧导航栏,单击HTTPS配置
  5. OCSP Stapling区域,打开OCSP Stapling开关,即可完成配置。